VirtualBox im Auswärtigen Amt mit VirtualBox die Linuxmigration auf dem Desktop vereinfachen Torsten Werner <torsten.werner@auswaertiges-amt.de> 1
IT im Auswärtigen Amt 1 zentrales IT-Referat Berlin und Bonn weltweit ca. 12.000 PC 230 Auslandsvertretungen, kaum IT-Fachkräfte Servicezentren New York, Singapur Arbeitseinheit IT-Strategie: Verwaltung IT-Haushalt Verantwortung für IT-Sicherheit Entscheidung strategischer Fragen 2
Geschichte des Open-Source-Einsatzes 2001 bis 2003 Projekt Vollvernetzung mit Einsatz von Linux auf Servern und VPN-Gateways basierend auf der SINATechnologie 3
Geschichte des Open-Source-Einsatzes ab 2004: Debian GNU/Linux als führende Plattform ab 2005: plattformunabhängige Fachanwendungen und Open Source auf dem (Windows-)Desktop sowie Multi-Boot-Clients; Ablösung Outlook + Exchange in der Zentrale ab 2006: Debian mit Sina-Erweiterungen auf Notebooks; Sicherheitsvorfälle mit proprietären Dateiformaten unter Windows ab 2007: Linuxkomplettmigration auf Clients 4
Gründe für Client-Migration Sicherheit Lizenzkosten Anpassbarkeit Einfacheres Management 5
unsichere Altanwendungen Beispiel für Entstehung einer Fachanwendung: 1. Tabellenkalkulation (Excel) 2. Makros + Basic 3. lokale Datenbank (Access) 4. Daten auf Netzwerkshare 5. SQL-Server + lokale Anwendung Sicherheit wurde nie beachtet, z.b. Vier-AugenPrinzip 6
IT-Sicherheitsprobleme BSI-Untersuchungen zeigten große Sicherheitslücken beim Einsatz von MS-OfficeDokumenten beispielsweise Installation von Rootkits via E-Mail ( chinesisches Rootkit) mögliche Lösungen: Ablösung von MS-Office Betrieb von MS-Office in einem sicheren Container 7
plattformabhängige Anwendungen Ablösung durch neue Anwendungen: zeitaufwändig, z.t. teuer bei kompletter Neuentwicklung, langfristig aber der richtige Weg Windowsemulatoren (Wine): leider nicht für alle Altanwendungen sofort einsetzbar Windowsterminalserver: teuer (neue Lizenzen und Hardware), kein OSS Virtualisierung: mehrere konkurrierende Produkte, aber nur 2 sind endanwendertauglich: VMware und VirtualBox, VMware aber proprietär 8
Vorteile der VirtualBox sehr stabil, viele Features; beispielsweise: raw disk und VMDK-Images, auch nichtpersistent USB-Filter, RDP-Server, USB über RDP shared Folder ohne Sambadaemon, iscsi seamless mode viele Betriebssyteme, Debianpaket verfügbar aktuelle Linux-Kerneltreiber zuverlässiges suspend, mehrere Snapshots größtenteils Open Source, dual license agile, lokale und kundenorientierte Firma 9
VirtualBox-Einsatz im AA 2 Varianten im Einsatz: raw disk mit eingeschränktem Netzzugang nichtpersistentes VDI ganz ohne Netzwerk Austauschlaufwerk für Daten: ~/Windows/ = B:\ weiterer Einsatz der bereits vorhandenen OEMInstallation erspart Neukauf von Windowslizenzen höhere Sicherheit durch nichtpersistentes Image und Netzwerkbeschränkungen einfachere Druckerkonfiguration über CUPS und den CUPS-Druckertreiber für Windows 10
Authorisierung über OpenLDAP zentral steuerbare Berechtigungen: wer darf virtuelles Windows überhaupt benutzen mit oder ohne Netzwerk persistent oder nicht persistent MS-Office sowie MS-Access USB-Filter ein- und ausschalten Wechselmedien im Linuxhost USB-Geräte sehr restriktiv nur bestimmte Drucker- und Scannertypen in der VirtualBox via white list erlaubt 11
Migrationen seit 2007 Komplettumstellung auf Linux-Desktops an ca. 100 Auslandsvertretungen und hunderten Anwendern in Berlin und Bonn war sehr erfolgreich Datenmigration von Windows nach Linux: zum Teil serverseitig (IMAP, SMB, E-Mailkonverter) Spezialwerkzeuge für Profile, Lesezeichen, lokale Daten, usw. keine ernsten Probleme bei den Endanwendern nur wenige benötigen das virtuelle Windows erhebliches Einsparpotential durch nicht mehr nötige Lizenzupdates für Windows und MS-Office 12
Vielen Dank für Ihre Aufmerksamkeit! Torsten Werner <torsten.werner@auswaertiges-amt.de> 13
Quellennachweis Bilder unter Creative-Commons-Lizenz: http://flickr.com/photos/modrak/145056039/ http://flickr.com/photos/fortphoto/227844357/ http://flickr.com/photos/twinleaves/758713887/ http://flickr.com/photos/mildlydiverting/5065226/ 14